Evernote 修复 macOS 应用的远程代码执行漏洞

TechCrunch  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
Evernote 修复 macOS 应用的远程代码执行漏洞

Evernote 修复了一个漏洞,该漏洞能够让攻击者在被攻击者的计算机上运行恶意代码。

迪拉伊·米斯拉 (Dhiraj Mishra)是一位驻迪拜的安全研究员,他于 3 月 17 日向 Evernote 报告了这个漏洞的存在。在一篇展示米斯拉概念证明的 博客文章 中,TechCrunch 看到,用户只需要点击一个伪装成网址的链接,就能不受阻碍地打开本地的应用或文件,而且系统不会弹出任何警告。

Evernote 发言人谢尔比·布森(Shelby Busen)证实该漏洞已经得到修复,并称他们公司 “感谢” 安全人员做出的贡献。

Evernote 修复 macOS 应用的远程代码执行漏洞

米斯拉 “弹出计算器窗口”,以此展示 Evernote 中存在的远程代码执行漏洞。(图片来源:迪拉伊·米斯拉)

漏洞数据库管理机构 MITRE 收录了该漏洞,编号为 CVE-2019-10038 。

这个漏洞可以让攻击者在任何安装了 Evernote 的 macOS 计算机上远程运行恶意代码。在修复措施生效以后,Evernote 现在会在用户点击打开 Mac 本地文件的链接时弹出警告。

本周二,艺电(EA)公司的 Origin 游戏平台 也曾曝出类似的本地文件路径遍历漏洞。

在 2013 年发生 数据泄露事件 之后,Evernote 要求近 5000 万用户重置了密码。后来,该公司又修改隐私政策, 允许公司员工访问用户数据 ,此举引起了争议。在用户表达不满之后,Evernote 恢复到了原来的政策 。

翻译:王灿均( @何无鱼 )

Evernote fixes macOS app bug that allowed remote code execution

本文被转载1次

首发媒体 TechCrunch | 转发媒体

随意打赏

evernote 印象笔记远程代码执行漏洞修复远程代码执行漏洞代码执行漏洞
提交建议
微信扫一扫,分享给好友吧。